Är det KeePass som gäller?

Nu blev det mycket text igen; TL;DR: Använd en lösenordshanterare och spara inte lösenord i "webbläsaren"

Du har redan läst hur smidigt LastPass är i en annan kommentar.
Dock så sparas inte ditt lösenord i molnet, utan en krypterad blob som laddas ner till varje enhet som du vill använda den på.
Du måste sedan ange ditt master password (och du kan välja att ha 2FA) innan användarnamn och lösen blir användbara.
Så om du har ett lösenord på 25+ tecken så kommer du att hinna uppleva "the next great adventure" innan de knäcker ditt master password (självklart så beöhver du ha ett bra master password).

Att spara lösenord i webbläsaren är inte heller så jekla bra, eller säkert, jämfört med att använda en lösenordshanterare.
Varför ska du behöva komma ihåg och mata in användarnamn eller lösen på webbsidor.
Jag har medvetet så många olika anävndarnamn jag kan... exempel inloggning till en stor webb-tidning görs med e-post adress, där väljer jag mitt namn.webtidningsnamn@mindomän.se.
Då vet jag ifall jag får skräp post vartifrån källan till min adress är. (Förutsätter att du har catch-all möjlighet för mail på din domän för enkelhetens skull).

Andra fördelar med lösenordshanterare är de extra funktioner de har.
Du kan lagra små anteckningar som också krypteras.
Du kan välja att låta din familj få tillgång till din lösenords fil ifall du dör, med inbyggt sätt att du kan stoppa någon att få tillgång ifall du lever (läs vidare på ex.vis LastPass hemsida)
Du kan dela inloggningar med andra, så om du ändrar lösenord så kommer det återspeglas för andra
Du kommer tycka att det är självklart att ha lösenord som är 24+ tecken långa som är "omöjliga" att komma ihåg.

Du kommer även att hata applikationer som av någon anledning vill att du ska logga in igen på telefonen för att de gjort någon förändring och att du behöver mata in lösenordet igen... (cut-n-paste funkar oftast dock)

Utvärderade detta själv rätt nyligen och kom fram till att DashLane iom nyaste versionen för mina behov var lite före LastPass. Främst då gränssnittet i LastPass känns lite rörigare, och matar man in olika lösenord hela dagarna gör det en det skillnad, t.ex. stöd för Windows Hello (det har LastPass också om jag inte minns helt fel). Självklart med eget master password / encryption key då och 2FA. Mitt resonemang var då lite att "desto större och mer välkänt företag, desto mer att förlora om det skiter sig". Men säkerhetsbrister lär finnas i alla lösningar...

Men detta med IT säkerhet är knepigt, då högre säkerhet för det mesta innebär "jobbigare säkerhet" vilket i sin tur kan göra att man försöker hitta vägar runt (typ återanvända samma lösenord osv).

Om applikationen gör PIE så känner ju inte ens molnleverantören till vad det är för lösenord som sparas.
(Pre Internet Encryption)

Visst kan du argumentera att de skulle kunna skriva sin app så att den skickar iväg datat okrypterat - men sannolikheten är nog mindre än att din enhet hackas på annat sätt ifall en statstat vill komma åt dina lösenord.
Varför knäcka skyddet på din lösenordshanterare när det är så mycket enklare att tillskansa sig full åtkomst till din enhet - där du själv matar in lösenorden för att kunna logga in på webbsidor eller lösenordshanterare.

Visst #Foliehatt men samtidigt, vad fungerar för en vanlig användare och är mer än säkert för en vanlig användare?
Då skulle jag vilja säga att en lösenordshanterare som har en bra integration med webbläsare, föreslår komplexa lösenord och kommer ihåg inloggningar automagiskt åt användare är att föredra jämfört med en mer komplex lösning som är svårare att använda där det inte går att motivera jmf med skyddsvärdet.

Jag förstår drivet, två NAS hemma där den ena bara är backup och UPS för båda, men det blir lätt dyrt, omständigt eller för komplicerat.
Därför försöker jag bidra med rimligheten i vad som "är det enda som är hyfstat säkert"? Även om jag misslyckats i mitt eget serverrum där det har blivit lite för mycket redundans (och blivit för dyrt när jag tittar tillbaka ).

När du tittade på detta kom du underfund med hur de gör detta?
"Dashlane scans the web for leaked or stolen personal data and alerts you instantly if your information is found where it doesn't belong, so you can take action fast"

Är det enast när du öppnat klienten lokalt på din dator eller är det något de gör online - vilket då betyder att antingen så krypterar de inte all data som du matar in, eller så har de ett sätt att avkrypera del (eller hela) din data i molnet...

Är lite intresserad då mitt LastPass snart går ut (köpte 3 år precis innan de höjde till 2$/månaden).

Inget av dom, man matar in de mailadresser och telefonnummer man vill bevaka separat. Kan dock inte påstå att just det gjorde någon större skillnad i det hela, finns ju andra sätt att göra det som t.ex. haveibeenpwned.com.

@tumvanten: Och vad vet du om det Wise Guy ?

Är du sur för du inte startade tråden

Bara idag har det kommit 4st nyheter, 5 med "Forumet"

Är en regel sedan en tid tillbaka att det flikas in en forumdel i själva nyhetsdelen, och det uppskattas av många!

Ontopic/

KeePass kör jag med

Kör med Dashlane, passar mig utmärkt.

Lastpass är kanonbra!

För att lösenords-strategi, se följande video (hoppas den inte har länkats tidigare):

använder själv 1password

För analys så kan man tanka hem filer med passord i klartext från hashes.org - man är väl över 500 miljoner passord i klartext från olika databasläckor med passord i klartext likväl sådana som är fram-crackade från undermånliga (SHA1, MD5) och ej saltade hashes

med rainbow-tabell kan man knäcka fram passord från osaltade hashes väldigt effektivt - det är detta som är syftet med just saltning av passordet innan hashning är att försvåra för just rainbow-angrepp

Det finns idag överflöd av användar-passord att analysera att det knappast är intressant för lastpass mfl. - det är snarare att vänligt men bestämt säga till när folk använder för enkla passord.

Somliga passord-manager eller plugin för det kan numera prata med API:n mot https://haveibeenpwned.com och kolla användares passord via API beskrivet enligt https://haveibeenpwned.com/API/v2#SearchingPwnedPasswordsByRa... utan att avslöja för mycket och den vägen se om man har tillräckligt bra passord.

Det är idag svårt att skapa ett lättmemorerad passord som inte redan finns i någon av alla dessa filer med passord i klarspråk - och störst chans att passera har man med sann maskinframslumpad sekvens - då minst 12 tecken med stora, små, siffror och alla skrivbara symboler.

Passfraser med minst 6 framslumpade ord (enligt diceware) är ofta lättare sätt lära sig utantill - dock kom ihåg, det skall vara skiljetecken mellan order och inte ihopskrivet - och här kan man köra alla tecken som små om man vill (och om det tillåts) då styrkan sitter i orden - inte vilka tecken som används.

Kört med Dashlane i många år, aldrig strulat

Själv använder jag pass.
https://www.passwordstore.org/

Lösenorden lagras i ett träd av mappar och filer på filsystemet och krypteras med GPG, vilket gör att du kan välja nyckellängden själv (eller till och med generera den på en separat enhet om du inte litar på datorns slumptalsgenerator). Synkronisering mellan datorerna sköts genom SSH med hjälp av GIT och ger dig också möjligheten att återställa lösenord om du skriver över fel fil. I och med att nyckeln lagras och hanteras separat (måste manuellt kopieras till dina enheter och importeras i GPG) kan hela filstrukturen relativt riskfritt kopieras till en molntjänst, till exempel ett privat repo på GitLab.

Eftersom den egentligen nästan bara kör en kombination av standardverktyg (ls, mkdir, cat, rm, gpg, ...) har all säkerhetskritisk kod redan granskats av många säkerhetsexperter. Skulle pass gå åt skogen kan man för hand dekryptera filerna med gpg och dekrypteringsnyckeln.

Klienter finns för Android, iOS, *nix (många Linuxdistar har pass i sina repon), Mac OS X och Windows.

Edit: Fördelen med pass över de tidigarenämnda är alltså att du har total kontroll över var dina lösenord sparas och vilka enheter som kan läsa dem. Ingen tredje part är inblandad om du inte aktivt väljer det och all kod är öppen för granskning.

Skickades från m.sweclockers.com

Fungerar med Enpass, iaf på Android. Lösenord/Pin(efter lösen) på datorn och lösen/pin/finger på mobil.